Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden

Transcriptie

1 ADVISORY FACTSHEET Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden Op 29 augustus 2018 zijn door De Nederlandsche Bank (DNB) de Good Practices ten aanzien van uitbestedingen door verzekeraars gepubliceerd. Deze Good Practices zijn het resultaat van de sectorbrede uitvraag die door de DNB is uitgevoerd naar uitbestedingen in de financiële sector. De voornaamste reden dat DNB dit onderwerp onder de loep neemt, is risicobeheersing van uitbesteedde diensten. Vanuit de gedachte dat het uitbesteden van (bedrijfskritische) onderdelen ertoe leidt dat de uitvoerders van het werk (de serviceproviders) verder weg komen te staan van de verzekeraar waardoor adequate risicobeheersing een uitdaging wordt. Door het uitbrengen van de Good Practice hoopt DNB een kwaliteitsslag te maken op dit terrein. U bent als uitbesteder eindverantwoordelijk voor (de kwaliteit van) de uitbesteding. Deze gedachte is de basis voor de manier waarop DNB het beheersen van uitbestedingen benadert. Het uitbesteden van uw (bedrijfskritische) dienstverlening betekent dus niet dat u daarmee uw verantwoordelijkheid kwijt bent. Echter, gezien het feit dat door uitbesteding de werkzaamheden uitgevoerd worden door derden, ontstaan hier de volgende vraagstukken: X X Hoe weet ik dat de dienstverlening kwalitatief goed is? X X Hoe waarborg ik dat de dienstverlener niet handelt in strijd met de normen en waarden zoals ik die zelf met uw organisatie nastreef? X X Hoe weet ik dat ik de juiste dienstverlener heb gekozen? Welke risico s loopt mijn organisatie door de uitbesteding? Wat doe ik wanneer ik afscheid wil nemen van een dienstverlener? nieuwe perspectieven

2 2 VAN 6 Met dit document reiken we u handvatten aan voor een gestructureerde implementatie van de Good Practice. Hiermee kunt u de uitbestedingsrelaties en het bijbehorende uitbestedingsproces aantoonbaar beheersen. Algemeen De Good Practice heeft betrekking op belangrijke, kritieke uitbestedingen. Volgens de Good Practice zijn dit uitbestedingen die een materiële impact hebben of van wezenlijk belang zijn voor de uitvoering van de eigen dienstverlening. Dit is een vrij brede reikwijdte, waarin DNB een nuance aanbrengt door onderscheid te maken tussen uitbestedingen en verzekeraars. Een voorbeeld hiervan is de mogelijkheid voor Basic-verzekeraars om met andere maatregelen te volstaan dan grote verzekeraars. Een ander voorbeeld is de toepassing van het proportionaliteitsbeginsel; verzekeraars maken eigen afwegingen over welke maatregel past bij een specifieke situatie. Tot slot kunt u deze Good Practice weliswaar gebruiken bij de uitbesteding van kritieke of belangrijke (sleutel)functies, maar biedt de Good Practice geen handvatten specifiek gericht op de beheersing van die functies. De Good Practice definieert vijf fasen in het uitbestedingsproces: Evaluatie uitbesteding Monitoring uitbesteding Selectie dienstverlener Uitbestedingsbeleid Governance en uitbestedingsovereenkomst Per fase schrijft DNB Good Practices voor, deze worden onderstaand nader toegelicht. 1 Uitbestedingsbeleid 1.1 Het uitbestedingsbeleid Het uitbestedingsbeleid bevat minimaal: De wijze waarop u rekening houdt met het effect van uitbesteding op uw bedrijfsvoering. Alle fasen uit het uitbestedingsproces (incl. selectie en selectiecriteria). Hoe de uitbesteding in de strategie past. Welke risico s er ontstaan en hoe u die beheerst. Doelstelling en scope uitbesteding (incl. randvoorwaarden en overwegingen om te beëindigen). De directie accordeert het beleid. Dit onderdeel van de Good Practice wordt grotendeels ondervangen door de Solvency II-richtlijn 274(1). In de markt zien we dan ook dat een uitbestedingsbeleid over het algemeen aanwezig is. Vanuit de Good Practice is het nu ook mogelijk hier het proportionaliteitsbeginsel op toe te passen. Dit betekent dat het beleid dient aan te sluiten bij uw organisatie. Als u bijvoorbeeld slechts beperkt uitbesteedt (en deze uitbestedingen betreffen geen kritische diensten) dan kunt u volstaan met een beperkt beleid. Van belang hierin is het uitvoeren van een risicoanalyse. Het uitvoeren van een dergelijke analyse maakt het mogelijk een juiste inschatting te maken van de risico s die u loopt en dus of het proportionaliteitsbeginsel van toepassing kan zijn voor de bewuste uitbesteding. 1.2 Definiëren uitbestedingsstrategie Onze visie is dan ook om te starten met een risicoanalyse (i.c.m. proportionaliteit), zodat u de basis legt voor een gedegen uitbestedingsbeleid. Na het uitvoeren van de risicoanalyse, is het mogelijk een op risico gebaseerde uitbestedingsstrategie te definiëren om uw doelstellingen te behalen. Tevens worden hierin ook de risico s en de beheersing van de risico s vermeld. Ook voor deze Good Practice geldt dat het proportionaliteitsbeginsel voor u van toegevoegde waarde kan zijn. Door de toepassing van dit beginsel sluit de risicoanalyse aan bij de aard en omvang van uw organisatie en de uitbestedingen waar de Good Practice betrekking op heeft.

3 3 VAN Betrekken medewerkers in proces 1.4 Uitbestedingsrichtlijnen- en procedures versus het beleid 1.5 Uitvoeren materialiteitsassessment Dit onderdeel van de Good Practice kan ons inziens ondervangen worden door het inrichten van een uitbestedingsteam waarin taken en verantwoordelijkheden duidelijk gecommuniceerd zijn. Het uitbestedingsteam (zie 1.3) stelt uitbestedingsrichtlijnen en procedures op, die aansluiten bij het beleid en communiceert deze richting alle medewerkers van de verzekeraar. Deze procedures kunnen integraal onderdeel uitmaken van de AO/IB-beschrijving van de verzekeraar. De verzekeraar voert, per (voorgenomen) uitbesteding, een materialiteitsassessment uit waarbij de volgende criteria gehanteerd worden: Het kritisch karakter en profiel van inherente risico s van de uit te besteden activiteit. Het operationele effect van onderbrekingen en de daarmee gepaard gaande juridische risico s en reputatierisico. Het effect dat een verstoring van de activiteit kan hebben op de verwachte inkomsten van de verzekeraar. Het effect dat een schending van vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens kan hebben op de verzekeraar en haar polishouders. 1.6 Business continuity management Het doel van dit assessment is het bepalen van het risico en karakter van de voorgenomen uitbesteding om te bepalen of deze uitbesteding binnen de reikwijdte van de Good Practice valt. Een belangrijk onderdeel van de Good Practice is Business Continuity Management (BCM), dat bestaat uit de volgende onderdelen: Een BCM-beleid en -strategie (BCM-plannen). Het toetsen of de BCM-plannen en maatregelen in de keten op elkaar aansluiten. Het ontwikkelen en implementeren van exit- en overgangsplannen. Uitvoeren van scenarioanalyses en monitoring van de werking van de BCM-maatregelen. De verzekeraar richt het Business Continuity Management in op basis van het opgestelde BCMbeleid en -strategie. Omdat het gaat om een uitbesteding, dient zowel de dienstverlener als de verzekeraar continuïteitsmaatregelen in te richten (in de vorm van een BCM-plan). Tevens toetst de verzekeraar periodiek of de BCM-plannen en -maatregelen in de uitbestedingsketen op elkaar aansluiten en wat de effectiviteit van de maatregelen is. Indien een planning- en controlcyclus aanwezig is binnen uw organisatie (conform de Plan, Do, Check, Act -cyclus) bestaat de mogelijkheid om de toetsing van de BCM-plannen hierin op te nemen. 2 Governance en uitbestedingsovereenkomst 2.1 Voldoen aan wettelijke vereisten Het uitbestedingsbeleid waarborgt ten minste dat u voor uitbestede activiteiten blijvend voldoet aan alle wettelijke vereisten. Tevens biedt dit beleidskader de voorwaarden en vereisten waaronder mag worden uitbesteed en de grenzen waarbinnen verplichtingen mogen worden aangegaan. 2.2 Meldingsplicht Een verzekeraar meldt de uitbesteding bij DNB minimaal zes weken voor in productiename. Ook bij een fasegewijze of projectimplementatie. Deze meldingsplicht dient u ook in het beleid op te nemen. Daarnaast raden we aan deze meldingsplicht bij een verantwoordelijke (of team, zoals genoemd in 1.3) neer te leggen. 2.3 Taken, bevoegdheden en verantwoordelijkheden Een verzekeraar omschrijft de taken, bevoegdheden en verantwoordelijkheden en waarborgt dat voldoende deskundigheid binnen de verzekeraar aanwezig is om te voorkomen dat de verzekeraar niet langer voldoet aan relevante wet- en regelgeving bij het aangaan van uitbestedingsovereenkomsten, daaronder begrepen onderuitbesteding. Daarnaast richt u, als verzekeraar, een regieorganisatie in voor het monitoren van grotere uitbestedingen. Voor de invulling van deze Good Practice wordt tevens verwezen naar 1.3 en 2.2.

4 4 VAN Gelijkwaardigheid beleid In het beleid dient u te waarborgen dat een bepaalde uitbesteding mogelijk is wanneer het beleid van de dienstverlener gelijkwaardig (of hoger) is aan het intern beleid van de verzekeraar ten aanzien van de onderwerpen informatiebeveiliging en Business Continuity Management (BCM), zodat er geen onacceptabele risico s bestaan. Ook hier ligt derhalve een duidelijke relatie met de risicoanalyse. Overigens kan de verzekeraar bij het ontbreken van een gelijkwaardig beleid ook kiezen voor alternatieve, mitigerende, (beheers)maatregelen (met als doel; het beheersen van de risico s). 2.5 Beleid en data De verzekeraar neemt in het beleid op dat zij de classificatie en beveiliging van data in haar risicobeoordeling meeneemt. 2.6 Inhoud uitbestedingsovereenkomst In de uitbestedingsovereenkomst dient u minimaal op te nemen: De geldigheidsduur en herzieningsfrequentie. Een omschrijving van de uit te besteden activiteit (incl. voorwaarden). Een specificatie van de onderlinge informatie-uitwisseling en de controle- en rapportageverplichtingen. Redenen voor eventuele beëindiging van de overeenkomst. De vermelding dat onderuitbesteding alleen is toegestaan als deze door uitbesteding niet aan het toezicht wordt onttrokken. Dat de dienstverlener de verzekeraar in kennis stelt van alle voorgenomen belangrijke wijzigingen van de in de oorspronkelijke overeenkomst genoemde onderaannemers of in onderuitbesteding gegeven services. Bepalingen voor het onderzoeksrecht voor de toezichthouders voor de hele keten. Bepalingen omtrent verwerken en eigendom data (AVG). 2.7 AVG Een verzekeraar is in staat de naleving van de AVG door de dienstverlener vast te stellen. Het niet naleven van de AVG en de gemaakt afspraken, kan voor een verzekeraar aanleiding zijn tot het beëindigen van de overeenkomst met de dienstverlener. 3 Selectie dienstverlener 3.1 Risicoanalyse Voordat de verzekeraar een dienstverlener selecteert, voert zij een op de uitbesteding gerichte risicoanalyse uit (incl. concentratierisico, juridisch risico en een due diligence-beoordeling). 3.2 Aspecten selectie De volgende aspecten komen minimaal aan bod bij de selectie van de dienstverlener: Financiële situatie dienstverlener (incl. belangenverstrengeling) Professionele achtergrond/expertise medewerkers dienstverlener Screening van medewerkers (antecedentenonderzoek) Omvang opdracht in relatie tot de omvang van de dienstverlener Geschillen/gerechtelijke procedures dienstverlener Reputatie van de dienstverlener Kwaliteit van onderaannemers Standaardcertificeringen, audit- en assurancerapporten Informatiebeveiligingsbeleid van de dienstverlener Continuïteitsbeleid van de dienstverlener Compliancebeleid van de dienstverlener Privacybeleid Incidentrapportage beleid van de dienstverlener Toepasselijk recht en land van vestiging dienstverlener Veiligheid van de gegevens Locatie van dataopslag, indien van toepassing Waarborgen uitoefening van toezicht

5 5 VAN Selectieproces Het selectieproces kent drie hoofdaspecten: Processtappen Denk hierbij aan risicoanalyses, zoals beschreven in deze factsheet en de Good Practice (3.1); Selectiecriteria Op basis van deze criteria vraagt de verzekeraar om informatie van dienstverleners en zij maakt op basis hiervan een long list. Hieruit volgt een short list, op basis waarvan u de contractonderhandelingen voert. 3.4 Juridische aspecten Besluitvormingsproces Hetgeen leidt tot heldere mandaten voor de dienstverlener. Een verzekeraar laat de juridische aspecten van uitbestedingscontracten toetsen voordat de verzekeraar de contracten ondertekent. Daarom is het raadzaam om in het uitbestedingsteam tevens een jurist op te nemen. 4 Monitoring uitbesteding 4.1 Interne beheersing De directie van een verzekeraar houdt in haar risicomanagement- en interne controlesysteem rekening met de uitbestede activiteiten om de uitvoering te kunnen beoordelen en naleving van wet- en regelgeving te waarborgen. Dit doet de verzekeraar door op regelmatige basis controlewerkzaamheden uit te voeren op aantoonbare werking van interne controlemaatregelen ten aanzien van de uitbestedingsrisico s. Ook deze werkzaamheden kunnen door middel van een Plan Do Check Act -cyclus ingepland en uitgevoerd worden. 4.2 KRI s De verzekeraar bewaakt uitbestedingsrisico s (o.a. operationele en concentratierisico s) op continue basis en vergelijkt deze informatie met vastgelegde kritieke risico-indicatoren (KRI s). 4.3 Monitoring dienstverlener 4.4 Kennis en competenties Een verzekeraar richt monitoring in ten aanzien van de werking en effectiviteit van de controlemaatregelen van de dienstverlener. Een verzekeraar beschrijft de benodigde kennis en competenties om: de dienstverlener tegenwicht te geven; KPI-, assurance- en SLA-rapportages goed te kunnen beoordelen. Bij voorkeur worden deze competenties opgenomen in het uitbestedingsteam. 4.5 Risicomanagement De risicomanagementfunctie verzamelt, aggregeert en rapporteert de informatie over de uitbestedingen minimaal per kwartaal en rapporteert hierover aan de directie. Hiertoe ontvangt de verzekeraar op reguliere basis - rechtstreeks van de onderaannemer of via de hoofddienstverlener - informatie over onder-uitbestedingen. 4.6 Uitbestedingsregister 4.7 Service Level Agreement (SLA) Een verzekeraar houdt een centrale registratie bij met informatie van de activiteiten die zij uitbesteedt. Dit register bevat de gegevens van alle uitbestedingsrelaties, inclusief relevante onderuitbestedingen. Indien mogelijk legt u in het register ook vast welke afspraken u met dienstverleners heeft gemaakt en monitort u deze afspraken realtime. In een Service Level Agreement (SLA) legt een verzekeraar afspraken vast over de overeengekomen prestaties tussen de verzekeraar en de dienstverlener. Daarbij legt de verzekeraar detailwerkafspraken vast in een Document Afspraken en Processen (DAP). Tevens ligt in de SLA vast hoe de dienstverlener vormgeeft aan de uitvoering van het contract en hoe het prestatiemanagement plaatsvindt. Een verzekeraar vergewist zich ervan dat de uitbestede services blijvend voldoen aan de afgesproken prestatie- en kwaliteitsnormen aan de hand van service level-rapportages. Tot slot laat de verzekeraar de kritieke performance indicatoren (KPI s) in de SLA aansluiten bij de doelen uit het uitbestedingsbeleid. Monitoring van deze aspecten in het register (zie 4.6) is mogelijk. 4.8 Assurance In het uitbestedingscontract met de dienstverlener maakt de verzekeraar de afspraak dat de dienstverlener regelmatig assurance (ISAE 3402 type II en/of SOC 2/3) levert over het stelsel van haar interne beheersing. Indien geen of beperkte assurance door de dienstverlener verleend kan worden, voert de verzekeraar eigen audits uit. Een jaarlijkse ISAE 3402 Type II-rapportage is gebruikelijk in de markt.

6 6 VAN 6 5 Evaluatie uitbesteding 5.1 Evaluatie Een verzekeraar evalueert periodiek, maar minimaal jaarlijks, het beleid en documenteert/communiceert de uitkomst hiervan. Deze evaluatie dient aan te sluiten bij de aanpak zoals opgenomen in het beleid. 5.2 Periodiciteit evaluatie 5.3 Multidisciplinair team Materiële uitbestedingen (op basis van het materialiteitsassessment) evalueert de verzekeraar minimaal jaarlijks. Daarbij gaat het onder andere om het behalen van de gemaakte performance- en resultaatafspraken en het evalueren van grote wijzigingen die zich bij de dienstverlener voordoen. Deze evaluatie leidt tot een besluit op het juiste managementniveau om de uitbesteding te continueren, bij te stellen of te beëindigen. Een verzekeraar wijst organisatie-eenheden of personen aan die verantwoordelijk zijn voor de controle, het beheer en de evaluatie van de uitbesteding. De verzekeraar geeft hierbij de voorkeur aan realisatie in multidisciplinair verband (zie tevens 1.3). 5.4 Evaluatie beleid Een verzekeraar toetst de oorspronkelijke business case van uitbesteding aan haar beleid en evalueert haar eigen beleid. Meer weten? De specialisten van BDO vertellen graag waar u in uw specifieke situatie rekening mee moet houden. Wij kunnen u helpen bij een integrale aanpak, waarbij kwaliteit altijd voorop staat. Belangrijk daarbij is het op een pragmatische wijze voldoen aan relevante wet- en regelgeving, zoals de Good Practicesuitbestedingen. Wij bereiken dit met ons multidisciplinaire team, waarin onder andere specialisten op het gebied van uitbestedingen, Solvency II en juridisch vlak zijn vertegenwoordigd. Voor meer informatie of een vrijblijvende afspraak kunt u contact opnemen met: Geertje Strampel Partner Risk Advisory Services T +31 (0) M +31 (0) E geertje.strampel@bdo.nl Bram van den Elshout Manager Risk Advisory Services T +31 (0) M +31 (0) E bram.van.den.elshout@bdo.nl 11/2018 AD1840 Deze publicatie is zorgvuldig voorbereid en tot stand gekomen, maar is in algemene bewoordingen gesteld en bevat alleen informatie van algemene aard. Deze publicatie bevat geen advies voor concrete situaties, zodat uitdrukkelijk wordt afgeraden om zonder advies van een deskundige op basis van de informatie in deze publicatie te handelen, na te laten of besluiten te nemen. Voor het verkrijgen van een advies dat is toegesneden op uw concrete situatie, kunt u zich wenden tot BDO Advisory B.V. of een van haar adviseurs. BDO Advisory B.V., de met haar gelieerde partijen en haar adviseurs aanvaarden geen aansprakelijkheid voor schade die het gevolg is van handelen, nalaten of het nemen van besluiten op basis van de informatie in deze publicatie. BDO is een op naam van Stichting BDO te Amsterdam geregistreerd merk. In deze publicatie wordt BDO gebruikt ter aanduiding van de organisatie die onder de merknaam BDO actief is op het gebied van de professionele dienstverlening (accountancy, belastingadvies en advisory). BDO Advisory B.V. is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereldwijde netwerk van juridisch zelfstandige organisaties die onder de naam BDO optreden. BDO is de merknaam die wordt gebruikt ter aanduiding van het BDO-netwerk en van elk van de BDO Member Firms.